DATENSCHUTZERKLÄRUNG MUYA

Version 1.0 | Gültig ab 15.05.2026

1. Einleitung und allgemeine Informationen

Diese Datenschutzerklärung legt die Grundsätze der Verarbeitung personenbezogener Daten von Personen fest, die die Website www.muya.app (nachfolgend: „Website”), die mobile App MUYA (nachfolgend: „App”) und den vom Verantwortlichen betriebenen Newsletter-Dienst nutzen.

Dieses Dokument wurde in Übereinstimmung mit den Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (nachfolgend: „DSGVO”) erstellt, unter Berücksichtigung der in den Rechtsordnungen, in denen die App verfügbar ist, geltenden lokalen Vorschriften (Details in Abschnitt 16).

Bitte lesen Sie diese Erklärung sorgfältig. Die Nutzung der Website, der App oder das Abonnieren des Newsletters gilt als Akzeptanz der in diesem Dokument beschriebenen Regeln. Für Fragen zum Datenschutz wenden Sie sich bitte an: hi@muya.app.

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist Sopraya Sp. z o.o. mit Sitz in Chodzież (64-800), ul. Krasińskiego 20, eingetragen im Unternehmerregister des KRS, geführt vom Amtsgericht Poznań – Nowe Miasto i Wilda in Poznań, IX. Abteilung für Wirtschaftssachen, unter der KRS-Nummer 0001165422, NIP 6070098148, REGON 541318039.

Kontaktdaten des Verantwortlichen:

  • E-Mail-Adresse (DSGVO und Datenschutzfragen): hi@muya.app
  • E-Mail-Adresse (Beschwerden): contact@sopraya.com
  • Telefon: +48 660 927 243
  • Postanschrift: ul. Krasińskiego 20, 64-800 Chodzież, Polen

Der Verantwortliche hat keinen Datenschutzbeauftragten (DSB) ernannt, da der Umfang und die Art der verarbeiteten Daten eine solche Ernennung gemäß Art. 37 DSGVO nicht erfordern. Für alle Fragen zur Verarbeitung personenbezogener Daten wenden Sie sich bitte an hi@muya.app.

3. Begriffsbestimmungen

Für die Zwecke dieser Erklärung gelten die folgenden Begriffsbestimmungen:

  • Verantwortlicher – Sopraya Sp. z o.o. wie in Abschnitt 2 beschrieben.
  • Website – die unter www.muya.app verfügbare Website, einschließlich des Blogs und des Newsletter-Anmeldeformulars.
  • App – die mobile App MUYA, die für iOS-Geräte (App Store) und Android-Geräte (Google Play) verfügbar ist.
  • Nutzer – eine natürliche Person, die mindestens 16 Jahre alt ist und die Website, die App oder den Newsletter nutzt.
  • B2C-Nutzer – ein individueller Nutzer, der ein Abonnement direkt über den App Store oder Google Play erworben hat.
  • B2B-Nutzer – ein Nutzer, der den Zugang zur App über ein vom Arbeitgeber (Organisation) gewährtes Unternehmensabonnement erhalten hat.
  • Organisation – ein Unternehmen, das mit dem Verantwortlichen einen B2B-Vertrag über den Zugang zur App für seine Mitarbeiter oder Kooperationspartner geschlossen hat.
  • Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von Art. 4 Nr. 1 DSGVO.
  • Verarbeitung – jeder Vorgang, der im Zusammenhang mit personenbezogenen Daten durchgeführt wird, im Sinne von Art. 4 Nr. 2 DSGVO.
  • Auftragsverarbeiter – ein Dritter, der dem Verantwortlichen technische, analytische oder Marketingdienstleistungen erbringt und dem der Verantwortliche die Verarbeitung personenbezogener Daten auf der Grundlage eines entsprechenden Vertrags überträgt.
  • Newsletter – ein Dienst zum kostenlosen und regelmäßigen Versand elektronischer Nachrichten mit Werbe- und Marketinginformationen über die Aktivitäten des Verantwortlichen.

4. Anwendungsbereich dieser Erklärung

Diese Erklärung gilt für die Datenverarbeitung in folgenden Bereichen:

  • Website www.muya.app – eine Informationswebsite mit Blog und Newsletter-Anmeldeformular. Die Website hat Präsentations- und Marketingcharakter.
  • Newsletter – ein Dienst zum Versand von Marketingnachrichten, betrieben über das Anmeldeformular auf der Website und (optional) in der App.
  • Mobile App MUYA – B2C-Modell – Nutzung der App durch Einzelnutzer, die selbst ein Abonnement erworben haben.
  • Mobile App MUYA – B2B-Modell – Nutzung der App durch Nutzer, denen der Zugang vom Arbeitgeber (Organisation) im Rahmen eines B2B-Vertrags gewährt wurde.

Diese Erklärung gilt weltweit. Die App ist in 6 Sprachversionen verfügbar (Polnisch, Englisch, Deutsch, Italienisch, Spanisch, Französisch) und kann von Nutzern aus beliebigen Ländern verwendet werden, vorbehaltlich der in Abschnitt 16 beschriebenen lokalen Vorschriften. Weitere Sprachversionen (einschließlich der japanischen) werden im Rahmen der weiteren Produktentwicklungsphasen zusammen mit den entsprechenden Fassungen dieser Datenschutzerklärung bereitgestellt.

5. Rechtliche Rollen des Verantwortlichen

Je nach Nutzungsmodell der App handelt Sopraya Sp. z o.o. in unterschiedlichen rechtlichen Rollen:

5.1. B2C-Modell – Verantwortlicher

In Bezug auf individuelle (B2C-)Nutzer, Website-Nutzer und Newsletter-Abonnenten handelt Sopraya Sp. z o.o. als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO – und bestimmt selbstständig die Zwecke und Mittel der Verarbeitung.

5.2. B2B-Modell – Auftragsverarbeiter

In Bezug auf B2B-Nutzer, deren Daten (insbesondere E-Mail-Adressen) dem Verantwortlichen von der Organisation zur Gewährung des Zugangs zur App übermittelt wurden, handelt Sopraya Sp. z o.o. als Auftragsverarbeiter (Art. 28 DSGVO) im Auftrag der Organisation. In diesem Umfang verarbeitet der Verantwortliche personenbezogene Daten ausschließlich gemäß den im Auftragsverarbeitungsvertrag (AVV) mit der Organisation festgelegten Weisungen.

Unabhängig davon handelt Sopraya Sp. z o.o. ab dem Zeitpunkt, zu dem der Nutzer ein Konto erstellt und die Nutzungsbedingungen akzeptiert, auch als eigenständiger Verantwortlicher in Bezug auf Daten, die für eigene Zwecke verarbeitet werden (z. B. Gewährleistung der App-Sicherheit, Geltendmachung von Ansprüchen).

Falls künftig das alternative B2B-Modell auf Basis von B2B-Aktivierungscodes eingeführt wird, handelt Sopraya Sp. z o.o. ausschließlich als eigenständiger Verantwortlicher in Bezug auf Daten, die direkt vom Nutzer bei der Kontoerstellung angegeben werden, da die Organisation in diesem Modell keine personenbezogenen Daten an den Verantwortlichen übermittelt.

6. Kategorien verarbeiteter personenbezogener Daten

6.1. Auf der Website erhobene Daten (www.muya.app)

  • IP-Adresse des Nutzergeräts
  • Cookie-Kennungen und Kennungen ähnlicher Technologien
  • Geräte- und Browserinformationen (User-Agent, Betriebssystem, Bildschirmauflösung, Sprache)
  • die Seite, von der aus der Nutzer auf die Website gelangt ist (Referrer)
  • Daten über das Nutzerverhalten auf der Website (besuchte Seiten, Sitzungsdauer, Interaktionen) – erhoben über Google Analytics 4 (nach Einholung der Einwilligung)
  • Daten über Interaktionen mit Werbeanzeigen und Konversionsereignisse (Klicks auf Google- und Meta-Anzeigen) – erhoben über Google Ads und Meta Pixel (nach Einholung der Einwilligung)
  • für Remarketing verwendete Werbekennungen (Google Ads Remarketing, Meta Pixel) – ausschließlich nach Einholung der Einwilligung des Nutzers verarbeitet

6.2. Bei der Newsletter-Anmeldung erhobene Daten

  • E-Mail-Adresse
  • Vorname (optional, sofern das Formular ein solches Feld enthält)
  • Datum und Uhrzeit der Anmeldung im Formular, IP-Adresse und Sitzungskennung (zu Beweiszwecken)
  • Datum und Uhrzeit der Einwilligungsbestätigung durch Klicken auf den an die E-Mail-Adresse gesendeten Aktivierungslink (Double-Opt-in-Mechanismus)
  • Analysedaten über Interaktionen mit dem Newsletter (E-Mail-Öffnungen, Link-Klicks) – von MailerLite verarbeitet

6.3. In der App erhobene Daten – Identifikation und Konto

  • E-Mail-Adresse (primäre Kontokennung)
  • Vorname (optional; kann aus der Anmeldung über Apple Sign-In oder Google Sign-In stammen oder vom Nutzer eingegeben worden sein)
  • Nutzerkennung im Clerk-System (Identitätsverwaltungsdienst, primärer Authentifizierungsanbieter)
  • gehashte Apple-ID- oder Google-Kontokennung (bei Anmeldung über Apple Sign-In oder Google Sign-In)
  • JWT-Sitzungstoken (lokal auf dem Gerät gespeichert)

6.4. Technische App-Daten

  • Gerätekennung (auf iOS: IDFV – Identifier for Vendor; auf Android: Firebase Installation ID)
  • Betriebssystem, Systemversion, App-Version
  • App-Sprache und Zeitzone
  • IP-Adresse (in Cloudflare-Protokollen und App-Protokollen erfasst)
  • App-Protokolle von Cloudflare Workers – erfasste technische Ereignisse (Ausnahmen, Serverfehler, API-Antwortzeiten) – für bis zu 12 Monate gespeichert
  • Absturz- und Fehlerdaten der App (Stack-Traces, App- und Gerätezustand zum Zeitpunkt des Fehlers) – in der Produktionsversion durch Firebase Crashlytics nach Einwilligung erhoben

6.5. Nutzungs- (Verhaltens-)Daten in der App

  • Verlauf der abgespielten Audio-Sitzungen (Aufnahmen, Datum, Wiedergabedauer)
  • Lieblingssitzungen
  • Start- und Endzeiten von Sitzungen
  • Analyseereignisse (Bildschirmöffnungen, Klicks auf CTA-Elemente), Nutzerkennung sowie Nutzereigenschaften (Kontotyp, Abonnementstufe, App-Sprache und -Design, Anmeldeanbieter) – von Firebase Analytics nach Einwilligung in der App verarbeitet

6.6. Abonnement- und Transaktionsdaten

  • Abonnementstatus (kostenlos / aktiv / abgelaufen)
  • Plantyp (monatlich / jährlich)
  • Kaufdatum und Ablaufdatum des Abonnements
  • Transaktionskennung (App Store / Google Play / Aktionsabonnement / Aktivierungscode)
  • Herkunft des Abonnements (B2C – App Store oder Google Play; B2B – Zuweisung durch Organisation; Aktionscode)
  • Daten zur Verwendung von Aktionscodes (Code-Kennung, Aktivierungsdatum, Code-Typ)

Der Verantwortliche speichert keine Zahlungskartennummern oder sonstige Zahlungsdaten – Transaktionen werden direkt von App Store oder Google Play abgewickelt.

6.7. Zusätzliche Daten im B2B-Modell

  • Name der Organisation (Arbeitgeber)
  • Rechnungsnummer
  • Gültigkeitszeitraum des Unternehmensabonnements
  • Zuordnung der E-Mail-Adresse des Nutzers zur Organisation
  • Aktivierungscode-Batch-Kennung (im Codes-Modell)
  • Daten des Ansprechpartners der Organisation (Vorname, Nachname, E-Mail, Position) – im zur Vertragserfüllung erforderlichen Umfang
  • Rechnungsdaten der Organisation (USt-IdNr., Adresse, Rechnungsdetails)

6.8. Was wir NICHT erheben

Der Verantwortliche erklärt, dass er im Rahmen der Website und der App:

  • keine medizinischen Daten oder Daten zum Gesundheitszustand der Nutzer erhebt
  • keine besonderen Kategorien von Daten im Sinne von Art. 9 DSGVO erhebt (einschließlich biometrischer, genetischer, Gesundheitsdaten oder Daten, die die rassische oder ethnische Herkunft offenbaren)
  • keine Daten von Kindern unter 16 Jahren erhebt (Details in Abschnitt 15)
  • keine Passwörter speichert – die Authentifizierung wird von Clerk mit Unterstützung für Apple Sign-In und Google Sign-In abgewickelt
  • den App Tracking Transparency (ATT)-Mechanismus nicht verwendet – Nutzer werden nicht über Apps und Websites anderer Unternehmen hinweg verfolgt

6.9. Daten von Creatorn und Werbepartnern

Im Rahmen von Partnerprogrammen und Kooperationen mit Creatorn (Influencern) verarbeitet der Verantwortliche folgende Daten der Creator:

  • Identifikations- und Kontaktdaten (vollständiger Name oder Unternehmensname, E-Mail-Adresse, Telefonnummer)
  • Rechnungsdaten (USt-IdNr., Geschäftsadresse, Bankkontonummer, Rechnungsdetails)
  • Kooperationsdaten (Creator-Kennung, zugewiesene Aktionscodes, Kampagnenkennung, Konversionsstatistiken)
  • Abrechnungsdaten (Höhe der fälligen Provisionen, Anzahl erfolgreicher Konversionen, Abrechnungsdaten)
  • Social-Media-Informationen des Creators (Nutzername, Profillink) – ausschließlich im für die Kampagnenverwaltung erforderlichen Umfang

7. Zwecke und Rechtsgrundlagen der Verarbeitung

Personenbezogene Daten werden für folgende Zwecke auf folgenden Rechtsgrundlagen verarbeitet:

7.1. Erbringung der Dienste (Kontoverwaltung, Bereitstellung von Audio-Inhalten, Abonnementverwaltung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist (Nutzungsbedingungen), oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage des Nutzers.

7.2. Versand des Newsletters und Marketingkommunikation

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – freiwillige Einwilligung des Nutzers sowie § 7 Abs. 2 Nr. 3 UWG – für den Versand kommerzieller Kommunikation auf elektronischem Wege.

Double-Opt-in-Mechanismus: Die Newsletter-Anmeldung erfolgt über ein zweistufiges Bestätigungsmodell: (1) Der Nutzer gibt seine E-Mail-Adresse in das Formular ein; (2) Es wird eine Bestätigungs-E-Mail gesendet, und das Abonnement wird erst aktiviert, nachdem der Nutzer auf den Aktivierungslink geklickt hat.

Widerruf der Einwilligung: Die Einwilligung kann jederzeit durch Klicken auf den Link „Abbestellen” in einer beliebigen Newsletter-E-Mail oder durch Kontaktaufnahme mit dem Verantwortlichen unter hi@muya.app widerrufen werden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor ihrem Widerruf.

7.3. Analytik, Diagnose und Produktentwicklung (GA4 auf der Website, Firebase in der App)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, die im Cookie-Einwilligungsbanner auf der Website (für GA4) oder in der Einwilligungsaufforderung beim ersten Start der App bzw. in den App-Einstellungen erteilt wird (für die App), mit der Möglichkeit des jederzeitigen Widerrufs. Bis zur Erteilung der Einwilligung bleiben Analytik und Diagnose in der App deaktiviert.

7.4. Marketing, Werbung und Remarketing (Meta Pixel, Google Ads)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Nutzers, die im Cookie-Einwilligungsbanner erteilt wird.

Umfang der Marketingaktivitäten: Der Verantwortliche führt Werbekampagnen im Meta-Ökosystem (Facebook, Instagram) und im Google-Ökosystem (Google Search, Display-Netzwerk, YouTube) unter Verwendung von Tools wie Meta Pixel und Google Ads durch. Diese Kampagnen richten sich an potenzielle neue Nutzer und, wenn eine Einwilligung erteilt wurde, an bestehende Nutzer (Remarketing).

Newsletter: Der Verantwortliche übermittelt keine E-Mail-Adressen von Newsletter-Abonnenten an Meta, Google oder andere Werbeplattformen, um benutzerdefinierte Zielgruppen zu erstellen oder Kampagnen für Abonnenten durchzuführen.

Widerruf der Einwilligung: Die Einwilligung in Marketing-Cookies kann jederzeit über die Cookie-Einstellungen im Website-Footer widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor ihrem Widerruf.

7.5. Zahlungsabwicklung und Abrechnungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – im Umfang der Rechnungsausstellung und der Erfüllung steuerrechtlicher Anforderungen.

7.6. Bearbeitung von Kontaktanfragen und Beschwerden

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage der betroffenen Person oder Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Verantwortlichen an der Bearbeitung der Korrespondenz und Lösung von Beschwerden).

7.7. Gewährleistung der Sicherheit der Website und App; Betrugsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen, das in der Gewährleistung der Sicherheit von IT-Systemen, der Erkennung und Verhinderung von Missbrauch sowie der Aufrechterhaltung der Systemintegrität besteht.

7.8. Geltendmachung und Abwehr von Rechtsansprüchen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse des Verantwortlichen, das in der Möglichkeit der Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen besteht.

7.9. B2B-Abrechnungen (Daten der Organisation und des Ansprechpartners)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des B2B-Vertrags), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – Rechnungsausstellung, steuerliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an B2B-Abrechnungen).

7.10. Verarbeitung von Mitarbeiterdaten der Organisation im Auftrag der Organisation (B2B)

Rechtsgrundlage: Art. 28 DSGVO – Übertragung der Verarbeitung auf der Grundlage eines gesonderten AVV-Vertrags zwischen dem Verantwortlichen und der Organisation. In diesem Umfang handelt Sopraya Sp. z o.o. als Auftragsverarbeiter und verarbeitet Daten ausschließlich gemäß den Weisungen der Organisation.

7.11. Zusammenarbeit mit Creatorn und Werbepartnern (Partnerprogramme)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des mit dem Creator geschlossenen Vertrags), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung von Partnerprogrammen und Abrechnung von Provisionen).

Die Angabe personenbezogener Daten ist freiwillig, aber für die Erstellung eines Kontos, den Erwerb eines Abonnements, die Newsletter-Anmeldung oder den Abschluss einer Zusammenarbeit als Creator erforderlich. Ohne die erforderlichen Daten ist die Nutzung des betreffenden Dienstes nicht möglich.

8. Auftragsverarbeiter und Datenempfänger

Der Verantwortliche nutzt vertrauenswürdige externe Dienstleister, die personenbezogene Daten in seinem Auftrag verarbeiten können. Die aktuelle Liste der Auftragsverarbeiter ist folgende:

8.1. Cloudflare, Inc. (USA)

  • Leistungsumfang: Hosting der App-API (Cloudflare Workers), Speicherung von Audiodateien (Cloudflare R2), CDN, DDoS-Schutz, WAF (Web Application Firewall).
  • Verarbeitete Daten: E-Mail-Adresse, Nutzerkennung, Sitzungstoken, Zugriffsprotokolle, IP-Adressen, technische Ereignisprotokolle.
  • Standort: Globale Edge-Infrastruktur. Übermittlung in die USA abgesichert durch Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF).

8.2. DigitalOcean, LLC (Frankfurt, EU)

  • Leistungsumfang: Verwaltete PostgreSQL-Datenbank.
  • Verarbeitete Daten: Vollständiger Datensatz des Nutzerkontos, Abonnements, Audio-Sitzungsverlauf, B2B-Organisationsdaten.
  • Standort: Frankfurt, Deutschland (EWR).

8.3. Apple Inc. (USA / EU)

  • Leistungsumfang: Anmeldung über Apple Sign-In (SSO), B2C-Zahlungsabwicklung über App Store.
  • Verarbeitete Daten: E-Mail-Adresse, Vorname, gehashte Apple-ID-Kennung, Transaktionsdaten.
  • Standort: USA und EU. Übermittlung in die USA abgesichert durch SCC und DPF.

8.4. Google LLC (USA / EU)

  • Leistungsumfang: B2C-Zahlungsabwicklung über Google Play (Android), Anmeldung über Google Sign-In, Firebase Analytics, Google Analytics 4, Google Ads.
  • Verarbeitete Daten: Gerätekennung, Telemetriedaten, Transaktionsdaten, E-Mail-Adresse, Nutzungsereignisse sowie App-Absturzdaten (Firebase Crashlytics). Die Werbekennung betrifft ausschließlich die Website (Google Ads) – die App erhebt keine Werbekennungen.
  • Standort: USA und EU. Übermittlung in die USA abgesichert durch SCC und DPF.

8.5. RevenueCat, Inc. (USA)

  • Leistungsumfang: Verwaltung von Nutzerabonnements und -berechtigungen, Synchronisierung des Abonnementstatus über Plattformen hinweg (App Store, Google Play, B2B).
  • Verarbeitete Daten: E-Mail-Adresse, Nutzerkennung (appUserId), Zahlungsverlauf, Abonnementstatus.
  • Standort: USA. Übermittlung abgesichert durch SCC und DPF.

8.6. Clerk, Inc. (USA)

  • Leistungsumfang: Nutzeridentitätsverwaltungsdienst (Authentifizierung und Nutzerverwaltung), Abwicklung der Anmeldung per E-Mail, Apple Sign-In, Google Sign-In.
  • Verarbeitete Daten: E-Mail-Adresse, Vorname, Nutzerkennung, Sitzungsmetadaten (IP-Adresse, User-Agent, Gerätekennung).
  • Standort: USA. Übermittlung abgesichert durch SCC und DPF.

8.7. Firebase (Google Ireland Limited / Google LLC)

  • Leistungsumfang: Analytik und Statistiken zur Nutzung der mobilen App (Firebase Analytics), Stabilitätsüberwachung und Absturzberichterstattung (Firebase Crashlytics) sowie Vergabe von Installations-IDs (Firebase Installations). Künftig – Push-Benachrichtigungen (Funktion wird in einer zukünftigen Version der App aktiviert).
  • Firebase Analytics und Crashlytics sind standardmäßig DEAKTIVIERT und werden ausschließlich aktiviert, wenn der Nutzer in der App freiwillig einwilligt (Einwilligungsaufforderung beim ersten Start) oder in den App-Einstellungen. Die Einwilligung kann jederzeit in den App-Einstellungen widerrufen werden; der Widerruf stoppt die weitere Datenerhebung und entfernt die Installations-ID vom Gerät, umfasst jedoch keine vor dem Widerruf an Google übermittelten Daten (die bis zum Ablauf des Aufbewahrungszeitraums gespeichert werden). Firebase Analytics läuft auf Android-Geräten; auf iOS-Geräten bleibt es in der App-Konfiguration deaktiviert.
  • Verarbeitete Daten: Nutzungsereignisse (u. a. Bildschirmöffnungen, Audio-Sitzungswiedergabe, Abonnement- und Geschenkcode-Ereignisse) mit Parametern; Nutzereigenschaften (Kontotyp, Abonnementstufe, App-Sprache und -Design, Anmeldeanbieter); Nutzerkennung und Firebase Installation ID (Android-Geräte); automatische SDK-Daten auf Android (Gerätemodell und -system, App-Version, Sitzungsdaten); für Crashlytics – App-Absturz- und Fehlerdaten (Stack-Traces, App- und Gerätezustand zum Zeitpunkt des Fehlers) verknüpft mit der Nutzerkennung.
  • Die App verwendet das Werbemodul (AdMob) nicht und erhebt keine gerätebezogenen Werbekennungen (IDFA / GAID); Firebase-Daten werden nicht für Werbung oder Remarketing genutzt.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Nutzers, die in der App erteilt wird.
  • Standort: USA und EU. Übermittlung in die USA abgesichert durch Standardvertragsklauseln (SCC) sowie im Rahmen des EU-US Data Privacy Framework (DPF) – Google LLC ist ein nach DPF zertifiziertes Unternehmen.

8.8. MailerLite Limited (Irland, EU)

  • Leistungsumfang: Newsletter-Versand, Verwaltung der Abonnentenliste, Öffnungs- und Klickanalysen.
  • Verarbeitete Daten: E-Mail-Adresse, Vorname (sofern angegeben), Anmeldedatum, IP-Adresse, Interaktionsdaten (Öffnungen, Klicks).
  • Standort: Irland (EWR). MailerLite kann Unterauftragnehmer außerhalb des EWR einsetzen – Details unter: https://www.mailerlite.com/legal/data-processing-agreement.

8.9. Google Analytics 4 (Google LLC)

  • Leistungsumfang: Traffic-Analyse auf der Website www.muya.app.
  • Verarbeitete Daten: Anonymisierte IP-Adresse, Cookie-Kennungen, Geräte- und Browserdaten, Verhaltensdaten auf der Website.
  • Standort: USA und EU. Übermittlung abgesichert durch SCC und DPF. Aktiviert erst nach Einholung der Nutzereinwilligung über den Cookie-Einwilligungsbanner.

8.10. Meta Platforms Ireland Limited (Meta Pixel, Meta Ads)

  • Leistungsumfang: Messung der Wirksamkeit von Werbekampagnen auf Meta-Plattformen (Facebook, Instagram), Durchführung von Remarketing-Kampagnen.
  • Verarbeitete Daten: Cookie-Kennungen, IP-Adresse, Daten über Ereignisse auf der Website, Werbekennungen.
  • Standort: Irland und USA. Übermittlung in die USA abgesichert durch SCC und DPF. Meta Pixel wird erst nach Einholung der Nutzereinwilligung aktiviert.
  • Newsletter-Daten: Der Verantwortliche übermittelt Meta keine E-Mail-Adressen oder sonstigen personenbezogenen Daten von Newsletter-Abonnenten zur Erstellung benutzerdefinierter Zielgruppen.

8.11. Google Ads (Google Ireland Limited / Google LLC)

  • Leistungsumfang: Durchführung von Google Ads-Kampagnen in der Google-Suchmaschine, im Display-Netzwerk und auf YouTube; Remarketing.
  • Verarbeitete Daten: Cookie-Kennungen, Werbekennungen, IP-Adresse, Daten über Ereignisse auf der Website.
  • Standort: Irland und USA. Übermittlung in die USA abgesichert durch SCC und DPF. Google Ads wird erst nach Einholung der Nutzereinwilligung aktiviert.

Die aktuelle Liste der Auftragsverarbeiter ist in dieser Erklärung verfügbar. Der Verantwortliche informiert die Nutzer über geplante Änderungen an der Liste der Auftragsverarbeiter und gibt der Organisation (im B2B-Modell) die Möglichkeit, solchen Änderungen gemäß den Bedingungen des AVV zu widersprechen.

Personenbezogene Daten können auch offengelegt werden an:

  • Unternehmen, die dem Verantwortlichen Buchhaltungs-, Rechts- und Beratungsdienstleistungen erbringen (auf der Grundlage von Auftragsverarbeitungsverträgen)
  • Behörden oder andere berechtigte Stellen – ausschließlich auf der Grundlage geltender Rechtsvorschriften
  • im B2B-Modell – der Organisation, ausschließlich im im AVV festgelegten Umfang der Abrechnungs- und Statistikdaten

9. Datenübermittlungen außerhalb des Europäischen Wirtschaftsraums

Einige Auftragsverarbeiter des Verantwortlichen haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Datenübermittlungen in Drittländer sind durch folgende Mechanismen abgesichert:

  • Standardvertragsklauseln (SCC), genehmigt von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
  • EU-US Data Privacy Framework (DPF) – für nach diesem Programm zertifizierte Unternehmen (Cloudflare, Google, Meta, RevenueCat, Clerk, Apple)
  • zusätzliche technische und organisatorische Maßnahmen (Verschlüsselung bei der Übertragung und im Ruhezustand, Beschränkung des Zugangs auf das notwendige Minimum)

Der Nutzer hat das Recht, eine Kopie der angewandten Sicherheitsmaßnahmen zu erhalten, indem er den Verantwortlichen unter hi@muya.app kontaktiert.

Durch die Nutzung der Website oder der App nimmt der Nutzer zur Kenntnis, dass seine Daten in Länder außerhalb des EWR übermittelt werden können, die durch die oben beschriebenen Mechanismen als ein angemessenes Datenschutzniveau gewährleistend angesehen werden.

10. Datenspeicherungsfristen

Personenbezogene Daten werden für den Zeitraum gespeichert, der zur Erreichung der Zwecke, für die sie erhoben wurden, erforderlich ist, und danach für den durch geltende Rechtsvorschriften oder die berechtigten Interessen des Verantwortlichen begründeten Zeitraum.

10.1. Nutzerkontodaten (B2C)

Kontodaten werden während des gesamten Nutzungszeitraums der App gespeichert. Nach Einleitung des Kontolöschverfahrens:

  • unmittelbar nach dem Löschantrag – wird das Konto deaktiviert und für den Nutzer unzugänglich
  • nach 30 Tagen ab Einleitung der Löschung – führt ein geplanter Task (Cron) eine dauerhafte (Hard-Delete-)Löschung aller Kontodaten aus der Produktionsdatenbank durch

Nach dem Hard-Delete können Daten aus technischen Gründen ausschließlich in Infrastruktur-Backups für einen maximalen Zeitraum von 90 Tagen verbleiben, nach dem sie dauerhaft gelöscht werden.

10.2. B2B-Nutzerdaten

Daten zur Zuordnung von Nutzer und Organisation werden für die Dauer des Unternehmensabonnements gespeichert. Nach dessen Ablauf oder nach der Entfernung des Nutzerkontos aus dem Pool der Organisation werden die Daten gemäß dem in Abschnitt 10.1 beschriebenen Verfahren gelöscht, sofern der AVV nichts anderes vorsieht.

10.3. Abrechnungsdaten und Rechnungen

Daten, die für die Ausstellung von Rechnungen und Steuerabrechnungen erforderlich sind (einschließlich der B2B-Organisationsdaten und der B2C-Transaktionsdaten), werden gemäß § 147 AO für 10 Jahre ab dem Ende des Kalenderjahres, in dem die steuerliche Verpflichtung entstanden ist, gespeichert.

10.4. Newsletter-Abonnentendaten

Die E-Mail-Adresse und damit verbundene Daten werden bis zum Widerruf der Einwilligung (Abmeldung) oder bis zur Einstellung des Newsletter-Dienstes gespeichert.

Bei fehlender Bestätigung der Anmeldung über den Double-Opt-in-Mechanismus (kein Klick auf den Aktivierungslink innerhalb von 7 Tagen) werden die Daten automatisch gelöscht.

10.5. Analyse- und Marketingdaten (Google Analytics 4, Google Ads, Meta Pixel, Firebase)

Analyse- und Marketingdaten werden für einen Zeitraum gespeichert, der der Konfiguration der Dienste entspricht: Google Analytics 4 (Website) – konfigurierter Aufbewahrungszeitraum für Nutzerdaten bis zu 14 Monaten; Firebase Analytics (App) – konfigurierter Aufbewahrungszeitraum bis zu 14 Monaten; Firebase Crashlytics (App-Absturzberichte) – Absturzdaten (Stack-Traces, Diagnosedaten, Installations-IDs) für 90 Tage, danach werden sie aus Produktionssystemen und Backups gelöscht; Google Ads (Konversions- und Remarketing-Cookies) – bis zu 540 Tage gemäß Google-Richtlinie; Meta Pixel – gemäß Meta-Richtlinie, in der Regel bis zu 2 Jahre. Daten werden früher gelöscht, wenn der Nutzer die Einwilligung im Cookie-Banner oder in den App-Einstellungen widerruft.

10.6. Technische Daten und Systemprotokolle

Cloudflare-Protokolle und sonstige Systemprotokolle werden für einen Zeitraum von bis zu 12 Monaten gespeichert, nach dem sie automatisch gelöscht werden.

10.7. B2B-Aktivierungscodes

Informationen über generierte und verwendete Aktivierungscodes werden zu Beweis- und Abrechnungszwecken für 5 Jahre ab dem Datum der Generierung gespeichert.

10.8. Daten zur Bearbeitung von Beschwerden und Anfragen

Daten der Kontaktkorrespondenz werden für den zur Beantwortung der Anfrage erforderlichen Zeitraum und im Falle einer Beschwerde oder Streitigkeit für den zu ihrer Lösung erforderlichen Zeitraum sowie bis zum Ablauf der Verjährungsfrist für Ansprüche gespeichert.

10.9. Daten, die für Ansprüche verarbeitet werden

Soweit die Verarbeitung für die Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich ist, werden personenbezogene Daten für einen Zeitraum gleich der Verjährungsfrist für solche Ansprüche gemäß den geltenden Rechtsvorschriften gespeichert.

11. Rechte der betroffenen Personen

Gemäß der DSGVO hat der Nutzer folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO) – Bestätigung zu erhalten, ob der Verantwortliche ihn betreffende Daten verarbeitet, und ggf. eine Kopie dieser Daten sowie Informationen über die Verarbeitung zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO) – die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung („Recht auf Vergessenwerden”, Art. 17 DSGVO) – die Löschung von Daten zu verlangen, wenn diese z. B. für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, die Einwilligung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – eine vorübergehende Aussetzung der Datenverarbeitung zu verlangen, z. B. während der Überprüfung der Richtigkeit der Daten oder während der Prüfung eines Widerspruchs.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO) – der Verarbeitung, die auf berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) beruht, einschließlich der Profilbildung, zu widersprechen. Der Verantwortliche stellt die Verarbeitung ein, sofern er keine zwingenden schutzwürdigen Gründe nachweist, die die Interessen, Rechte und Freiheiten des Nutzers überwiegen.
  • Recht auf Widerruf der Einwilligung – jederzeit, ohne Beeinträchtigung der Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor dem Widerruf. Der Widerruf der Newsletter-Einwilligung führt zur Entfernung aus der Verteilerliste. Der Widerruf der Einwilligung in Analyse-Cookies führt zur Deaktivierung von GA4/Firebase.
  • Recht auf Beschwerde bei einer Aufsichtsbehörde – in Deutschland: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die zuständige Landesdatenschutzbehörde. Nutzer aus anderen Ländern können sich an die für den Datenschutz zuständige Behörde ihres Wohnsitzlandes wenden.

Um die oben genannten Rechte auszuüben, wenden Sie sich bitte an hi@muya.app. Der Verantwortliche beantwortet Anfragen innerhalb der in der DSGVO festgelegten Fristen (in der Regel innerhalb eines Monats, mit der Möglichkeit der Verlängerung um weitere zwei Monate in komplexen Fällen).

Im B2B-Modell leitet der Verantwortliche, wenn die Anfrage Daten betrifft, die er in der Rolle des Auftragsverarbeiters im Auftrag der Organisation verarbeitet, diese Anfrage an die Organisation als Verantwortliche weiter und leistet bei ihrer Bearbeitung gemäß dem AVV Unterstützung.

12. Cookies und ähnliche Technologien auf der Website

Die Website www.muya.app verwendet Cookies und ähnliche Technologien (Web-Speicher, Pixel). Cookies sind kleine Textdateien, die beim Besuch der Website auf dem Gerät des Nutzers gespeichert werden.

12.1. Arten der verwendeten Cookies

  • Technisch notwendige Cookies – ermöglichen den ordnungsgemäßen Betrieb der Website (z. B. Formularverarbeitung, Sitzungsaufrechterhaltung). Diese Cookies erfordern keine Nutzereinwilligung.
  • Analyse-Cookies – werden zur Erhebung von Statistiken über die Website-Nutzung (Google Analytics 4) verwendet. Werden erst mit Nutzereinwilligung aktiviert.
  • Marketing-Cookies – werden für Marketingaktivitäten, einschließlich Remarketing (Meta Pixel, Google Ads), verwendet. Werden erst mit Nutzereinwilligung aktiviert.

12.2. Cookie-Einwilligungsverwaltung

Beim ersten Besuch der Website sieht der Nutzer ein Cookie-Einwilligungsbanner (Consent Management Platform – CMP). Der Nutzer kann:

  • alle Cookies akzeptieren
  • alle optionalen Cookies ablehnen (nur technisch notwendige Cookies bleiben aktiv)
  • eine individuelle Auswahl der Cookie-Kategorien treffen

Die Einwilligung kann jederzeit über die im Website-Footer verfügbaren Einstellungen geändert oder widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor ihrem Widerruf.

13. Lokale Technologien in der mobilen App

Die mobile App MUYA verwendet keine Cookies im herkömmlichen Sinne. Im Rahmen ihres Betriebs werden folgende lokale Speichertechnologien verwendet:

  • Sitzungstoken (JWT) – ermöglichen die Aufrechterhaltung der eingeloggten Sitzung des Nutzers
  • Cache (temporärer Speicher) – wird für die vorübergehende Speicherung von Audio-Inhalten und Schnittstellendaten zur Verbesserung der App-Leistung verwendet
  • Firebase Analytics SDK – zur Erhebung von Analyseereignissen; Firebase Crashlytics SDK – zur Meldung von App-Abstürzen und -Fehlern. Beide standardmäßig deaktiviert, werden ausschließlich nach Erteilung der Einwilligung in der App aktiviert und nach deren Widerruf deaktiviert.
  • Zahlungsanbieter-SDKs (App Store / Google Play) – native Betriebssystemkomponenten zur Handhabung der Abonnementverifizierung; speichern keine Zahlungskartendaten in der App

Die App verwendet den App Tracking Transparency (ATT)-Mechanismus im Sinne der Apple-Richtlinien nicht – Nutzer werden nicht über Apps oder Websites anderer Unternehmen hinweg verfolgt.

14. Datensicherheit

Der Verantwortliche trifft technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit, die dem Risikoproliminiveau angemessen sind, darunter insbesondere:

  • Kommunikationsverschlüsselung (TLS) über die gesamte Netzwerkinfrastruktur (Cloudflare)
  • Verschlüsselung ruhender Daten in der von DigitalOcean verwalteten PostgreSQL-Datenbank
  • Die Authentifizierung wird von Clerk als primärem Identitätsanbieter abgewickelt, mit Unterstützung für Multi-Faktor-Authentifizierung (MFA) für administrative Nutzer
  • JWT-Sitzungstoken mit Versionierung – ermöglichen die Fernsperrung von Sitzungen
  • Beschränkung des Zugangs zum Verwaltungspanel ausschließlich auf autorisierte Mitarbeiter des Verantwortlichen
  • regelmäßige Software-Updates und Sicherheitsüberprüfungen
  • Verfahren zur Reaktion auf Sicherheitsvorfälle und die Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO)

15. Schutz der Daten Minderjähriger

Die Website und die App sind nicht für Personen unter 16 Jahren bestimmt. Der Verantwortliche erhebt wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

Der Verantwortliche wendet weltweit eine einheitliche, erhöhte Altersgrenze von 16 Jahren an, unabhängig von den in den einzelnen Rechtsordnungen geltenden lokalen Vorschriften (z. B. Vereinigtes Königreich – 13 Jahre, Irland – 13 Jahre, einige EU-Mitgliedstaaten – 13 oder 14 Jahre). Diese Entscheidung ergibt sich aus dem Wellness-Charakter der App und dem Ziel, eine einheitliche und transparente Minderjährigenschutzpolitik aufrechtzuerhalten.

Bei der Kontoerstellung erklärt der Nutzer, dass er mindestens 16 Jahre alt ist. Wenn der Verantwortliche davon Kenntnis erlangt, dass personenbezogene Daten einer Person unter 16 Jahren erhoben wurden, werden diese Daten unverzüglich gelöscht und das Konto gesperrt.

Eltern oder gesetzliche Vertreter, die den Verdacht haben, dass ein Kind unter 16 Jahren dem Verantwortlichen personenbezogene Daten bereitgestellt hat, werden gebeten, uns unter hi@muya.app zu kontaktieren. Der Verantwortliche wird solche Daten unverzüglich löschen.

16. Lokale Vorschriften in ausgewählten Rechtsordnungen

Die App ist weltweit verfügbar. Zusätzlich zu den den Nutzern nach der DSGVO gewährten Rechten können je nach Wohnsitzland des Nutzers folgende zusätzliche Rechte oder Pflichten gelten:

16.1. Vereinigtes Königreich (UK DSGVO und Data Protection Act 2018)

Die UK DSGVO und der Data Protection Act 2018 gelten für Nutzer im Vereinigten Königreich. Die Rechte der Nutzer im Vereinigten Königreich sind äquivalent zu den in Abschnitt 11 dieser Erklärung beschriebenen. Nutzer im Vereinigten Königreich können eine Beschwerde beim Information Commissioner’s Office (ICO) einreichen: https://ico.org.uk.

Datenübermittlungen in die USA erfolgen auf der Grundlage der UK-US Data Bridge (UK Extension to the EU-US Data Privacy Framework) sowie auf der Grundlage der für das UK-Recht angepassten Standardvertragsklauseln (UK IDTA – International Data Transfer Agreement).

16.2. Schweiz (Bundesgesetz über den Datenschutz – nDSG)

Die Bestimmungen des neuen Schweizer Bundesgesetzes über den Datenschutz (nDSG, in Kraft seit dem 1. September 2023) gelten für Nutzer in der Schweiz. Schweizer Nutzer können eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einreichen: https://www.edoeb.admin.ch.

Datenübermittlungen in die USA erfolgen auf der Grundlage des Swiss-US Data Privacy Framework (Swiss-US DPF), das vom EDÖB anerkannt ist.

16.3. Vereinigte Staaten – Kalifornien (CCPA / CPRA)

Einwohner des Bundesstaates Kalifornien haben zusätzliche Rechte gemäß dem California Consumer Privacy Act (CCPA), geändert durch den California Privacy Rights Act (CPRA), darunter:

  • das Recht zu wissen (right to know), welche personenbezogenen Daten erhoben, verwendet, offengelegt oder verkauft werden
  • das Recht auf Löschung personenbezogener Daten
  • das Recht auf Berichtigung unrichtiger Daten
  • das Recht auf Einschränkung der Verarbeitung sensibler personenbezogener Daten (Sensitive Personal Information – SPI)
  • das Recht auf Widerspruch gegen den „Verkauf” oder die „Weitergabe” personenbezogener Daten („Do Not Sell or Share My Personal Information”)
  • das Recht auf Nichtdiskriminierung im Zusammenhang mit der Ausübung der oben genannten Rechte

Der Verantwortliche erklärt, dass er personenbezogene Daten im Sinne des CCPA nicht verkauft. Bestimmte Formen der Datenweitergabe an Werbepartner (Meta Pixel, Google Ads) können gemäß CCPA als „Weitergabe” qualifiziert werden. Nutzer, die nicht möchten, dass ihre Daten für Werbezwecke weitergegeben werden, sollten die Einwilligung in Marketing-Cookies in den Website-Einstellungen widerrufen.

16.4. Kanada (PIPEDA)

Der Personal Information Protection and Electronic Documents Act (PIPEDA) gilt für Nutzer in Kanada. Kanadische Nutzer haben das Recht auf Zugang zu ihren Daten und auf Berichtigung von Unrichtigkeiten. Der Verantwortliche benennt hi@muya.app als Anlaufstelle für die Ausübung von PIPEDA-Rechten.

Beschwerden können beim Office of the Privacy Commissioner of Canada (OPC) eingereicht werden: https://www.priv.gc.ca.

16.5. Brasilien (LGPD)

Die Lei Geral de Proteção de Dados (LGPD, Gesetz Nr. 13.709/2018) gilt für Nutzer in Brasilien. Brasilianische Nutzer haben das Recht auf Zugang, Berichtigung, Löschung, Datenportabilität, Auskunft über die Datenweitergabe und das Recht auf Widerruf der Einwilligung. Diese Rechte können durch Kontaktaufnahme mit hi@muya.app ausgeübt werden.

Der Verantwortliche hat die Adresse hi@muya.app als Anlaufstelle für die Ausübung von LGPD-Rechten und als Kontaktstelle zur Autoridade Nacional de Proteção de Dados (ANPD) benannt.

16.6. Japan (APPI) – Informationen für künftige Nutzer

Die MUYA-App ist derzeit nicht auf Japanisch verfügbar und richtet sich nicht aktiv an den japanischen Markt. Die Anforderungen des Act on the Protection of Personal Information (APPI) werden vor der Bereitstellung der App in der japanischen Sprachversion implementiert.

Die App richtet sich derzeit nicht an Einwohner Japans. Einwohner Japans, die die App in einer derzeit verfügbaren Sprachversion nutzen, tun dies freiwillig und akzeptieren die gemäß dieser Erklärung geltenden Regeln.

16.7. China (PIPL) – Informationen für künftige Nutzer

Die App ist derzeit offiziell nicht in einer chinesischsprachigen Version verfügbar und nicht für den chinesischen Markt bestimmt. Vor der Bereitstellung der App für Einwohner der Volksrepublik China wird der Verantwortliche die Anforderungen des Personal Information Protection Law (PIPL) implementieren, insbesondere die Bestimmungen über:

  • Mechanismen für Datenübermittlungen außerhalb des Territoriums Chinas (CAC-Zertifizierung, Standardvertragsklauseln für China oder andere genehmigte Mechanismen)
  • Rechte der Nutzer nach PIPL (Zugang, Berichtigung, Löschung, Widerruf der Einwilligung, Portabilität und andere)
  • Benennung eines lokalen Vertreters in China, sofern erforderlich

Die App richtet sich derzeit nicht an Einwohner Chinas. Einwohner Chinas, die die App in einer derzeit verfügbaren Sprachversion nutzen, tun dies freiwillig und akzeptieren die gemäß dieser Erklärung geltenden Regeln.

17. Profilerstellung und automatisierte Entscheidungsfindung

Der Verantwortliche führt in begrenztem Umfang Profilerstellung im Sinne von Art. 4 Nr. 4 DSGVO durch. Die Profilerstellung besteht aus:

  • Analyse des Audiowiedergabeverlaufs und der bevorzugten Inhalte zur Generierung personalisierter Audio-Sitzungsvorschläge in der App
  • Segmentierung von Newsletter-Abonnenten zur Anpassung der Themen und Versandhäufigkeit (z. B. basierend auf bei der Anmeldung angegebenen Präferenzen)
  • Analyse von Analyseereignissen auf der Website und in der App (GA4, Firebase) zur Optimierung der Funktionalitäten und Relevanz von Marketingkampagnen – ausschließlich auf Grundlage einer im Cookie-Banner erteilten Einwilligung (Website) oder in der Einwilligungsaufforderung / den App-Einstellungen (App).

Die Profilerstellung führt nicht zu automatisierten Entscheidungen gegenüber dem Nutzer im Sinne von Art. 22 DSGVO – d. h. Entscheidungen, die rechtliche Wirkungen entfalten oder den Nutzer in ähnlicher Weise erheblich beeinträchtigen. Personalisierte Vorschläge haben ausschließlich Hilfscharakter.

Der Nutzer hat das Recht, der auf berechtigten Interessen beruhenden Profilerstellung (Art. 6 Abs. 1 lit. f DSGVO) durch Kontaktaufnahme mit dem Verantwortlichen unter hi@muya.app zu widersprechen.

18. Änderungen der Datenschutzerklärung

Der Verantwortliche behält sich das Recht vor, diese Erklärung zu aktualisieren bei:

  • Änderungen der datenschutzrechtlichen Vorschriften
  • Einführung neuer Website- oder App-Funktionalitäten
  • Änderungen an der Liste der Auftragsverarbeiter oder am Verarbeitungsumfang
  • anderen wichtigen Gründen, die eine Aktualisierung der Erklärung erfordern

Nutzer werden über wesentliche Änderungen der Erklärung im Voraus informiert – durch einen Hinweis in der App und/oder per E-Mail an die mit dem Konto verknüpfte Adresse. Die Änderungen treten frühestens 14 Tage nach dem Datum der Benachrichtigung in Kraft, es sei denn, sie ergeben sich aus einer gesetzlichen Verpflichtung und erfordern eine sofortige Umsetzung.

Die aktuelle Version der Erklärung ist stets auf der Website www.muya.app und in der App im Bereich „Rechtliche Informationen” verfügbar.

19. Kontakt

Für alle Fragen zum Datenschutz, zur Ausübung der Nutzerrechte und zu dieser Datenschutzerklärung wenden Sie sich bitte an:

  • E-Mail: hi@muya.app
  • Postanschrift: Sopraya Sp. z o.o., ul. Krasińskiego 20, 64-800 Chodzież, Polen
  • Telefon: +48 660 927 243

Für Beschwerden über das Funktionieren der App und der erbrachten Dienste wenden Sie sich bitte an: contact@sopraya.com.

– Ende des Dokuments –

Version 1.0 | Gültig ab 15.05.2026